Tìm hiểu về quá trình tấn công của Hacker

tan_cong_mang_1

Đầu tiên hacker tiến hành thu thập thông tin. Về hạ tầng của mục tiêu, mô hình của các Web Server, kiểu giao tiếp thông tin thông qua các cổng (port) nào. Những site liên quan đến việc thực hiện chức năng của site mục tiêu… Việc thu thập thông tin là vấn đề quan trọng. Cho việc tấn công vào một hệ thống máy mục tiêu. Cho dù sự tấn công của hacker theo phương diện phần cứng hay qua ứng dụng. Thì việc thu thập vẫn là cần thiết.

 

 

các bước tấn công của Hacker

Giai đoạn 1: Thu thập thông tin trong quá trình tấn công của Hacker

(Trước khi hacker bắt đầu làm công việc. 3 yếu tố cần thiết phải được làm đầy đủ: FootPrinting, Scanning, Enumeration)

  • FootPrinting (In dấu ấn – thu thập thông tin): Là bước mà kẻ tấn công thâu tóm càng nhiều thông tin càng tốt về đối tượng, người dùng, doanh nghiệp, các chi nhánh của công ty, máy chủ… bao gồm các chi tiết: Domain Name, Địa chỉ IP, Networking Prototcols…
  • Sanning (Quét thăm dò mạng): Phần lớn thông tin quan trọng từ server có được từ bước này. Xác định hệ điều hành, xác định hệ thống có đang chạy không, tìm hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hổng, kiểm tra các cổng, xác định các dịch vụ sử dụng giao thức TCP và UDP…
  • Enumeration (Điểm danh mạng – liệt kê tìm lỗ hổng): Đến đây, các hacker bắt đầu kiểm soát server sơ bộ. Bước này là tìm kiếm những tài nguyên được bảo vệ kém, hoặc tài khoản người dùng mà có thể sử dụng để xâm nhập, bao gồm các mật khẩu mặc định, các script và dịch vụ mặc định. Sử dụng công cụ: DumpSec, NbtScan, SuperScan…

 

Giai đoạn 2: Phân tích và hành động

  • Gaining Access (Đột nhập hệ thống): Hacker sẽ tìm cách truy cập vào mạng. Bằng những thông tin có được ở ba bước trên. Phương pháp được sử dụng ở đây có thể là tấn công vào lỗi tràn bộ đệm. Lấy và giải mã file password, hay brute force (kiểm tra tất cả các trường hợp) password, đột nhập qua các cổng mở… Sử dụng công cụ: Tcpdump, Remote Buffer Overflows, Brute-force password attacks…
  • Privilege Escalation (Nâng quyền hệ thống): Trong trường hợp hacker xâm nhập đựợc vào mạng Với một tài khoản nào đó. Thì họ sẽ tìm cách kiểm soát toàn bộ hệ thống. Hacker sẽ tìm cách crack password của admin. Hoặc sử dụng lỗ hổng để leo thang đặc quyền. Kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu. Mà tài khoản người sử dụng ban đầu không được cho phép truy cập. Khi hacker đạt được mức độ quyền truy cập đủ cao. Họ có thể cài đặt phần mềm như là Backdoors và Trojan horses. Cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker là chiếm được quyền truy cập ở mức độ quản trị. Khi đó xem như có toàn quyền điều khiển hệ thống mạng. Có thể sử dụng Sniffer để bắt các gói tin. Từ đó phân tích tìm ra mật khẩu.
  • Pilfering (Khai thác hệ thống): Thông tin lấy từ bước trên đủ để hacker định vị server. Và điều khiển server. Sử dụng công cụ: Configuration files, Registry, Telnet, Ftp…

 

Giai đoạn 3: Dừng và xoá dấu vết

  • Creating Backdoors (Tạo cổng hậu): Để chuẩn bị cho lần xâm nhập tiếp theo được dễ dàng hơn. Hacker để lại Backdoors. Tức là một cơ chế cho phép hacker truy nhập trở lại. Bằng con đường bí mật không phải tốn nhiều công sức khai phá. Bằng việc cài đặt Trojan hay tạo user mới. Ở đây là các loại Trojan, keylog, creat rogue user accounts…
  • Covering Tracks (Xoá dấu vết): Sau khi đã có những thông tin cần thiết. Hacker tìm cách xoá dấu vết, xoá các file LOG của hệ điều hành. Làm cho người quản lý không nhận ra hệ thống đã bị xâm nhập. Hoặc có biết cũng không tìm ra kẻ xâm nhập là ai. Sử dụng công cụ: Clear logs, Zap, Event log GUI, rootkits…

 

tấn công của hacker

 

Có thể trong những bước đã nêu trên, sự tấn công của hacker không cần phải đi qua theo thứ tự hay phải thực hiện hết. Nhưng việc nắm rõ thông tin của máy mục tiêu. Luôn là điều kiện tiên quyết để dẫn đến thành công trong việc tấn công. Tùy vào thông tin thu thập được. Mà hacker sẽ quyết định tấn công theo kỹ thuật nào. Xây dựng một kịch bản tấn công phù hợp.

Dù tấn công dưới bất kỳ với mục đích gì thì hậu quả ảnh hưởng đều rất đáng kể. Thiệt hại to lớn về uy tín, kinh tế, gây thiệt hại cho người dùng mạng, bị đánh cắp thông tin. Có thể bị hacker lợi dụng để tấn công một tổ chức khác, tận dụng phát tán lừa đảo…

Nếu không thành công trong việc xâm nhập bằng các kỹ thuật phổ biến, thì DOS (Denial Of Service) là cách thức mà hacker thường lựa chọn để làm cho hệ thống không thể hoạt động được.